Ne, die manuelle Aufrufmöglichkeit kann man ja mit einer eigenen Verschlüsselung und sid erschweren.
Ich kenne mich in php/
mysql leider noch nicht so aus.
Aber was ich bis jetzt so gehört habe ala "
MySQL-Injection" etc. macht mich immernoch ein bisschen misstrauisch.
Am besten mach ich das an einem Beispiel klar:
Dein
SQL-Kommando sieh wie folgt aus:
Code:
$
sql = "INSERT INTO HSTEST (name,punkte) VALUES ('$name','$punkte')";
mysql_query($
sql);
Was würde jetzt passieren, wenn der User folgendes als Namen angibt:
$name = "blupp', '10'); Drop Database;"
Dann ständ in dem
SQL-Kommando doch folgendes:
Code:
INSERT INTO HSTEST (name,punkte) VALUES ('1', '10'); Drop Database; ', '0')
Wenn das dann ausgeführt wird, ist dann nicht die ganze Datenbank futsch?
Jetzt wollte ich fragen, ob man wirklich gegen Angriffe solcher Art "sicher" ist?
(Am besten nutz ich erstmal gar keine DB, sondern lass alles in txt dateien speichern.)
Zitat
Baum-Darstellung
